Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

Figyelem! Új adathalász technikával lopnak banki adatokat az internetes csalók

MEGOSZTÁS

Kártékony aktorok progresszív webes alkalmazásokat (PWA) kezdtek használni arra, hogy banki alkalmazásokat személyesítsenek meg és hitelesítő adatokat lopjanak el Android és iOS felhasználóktól.

Egy PWA egy olyan keresztplatformos alkalmazás, amely közvetlenül a böngészőből telepíthető. Olyan funkciókkal kínál natívhoz hasonló élményt, mint a push-értesítések, az eszköz hardveréhez való hozzáférés és a háttérben zajló adatszinkronizálás.

Az ilyen típusú alkalmazások használata az adathalász kampányokban lehetővé teszi a felderítés és az alkalmazások telepítési korlátozásainak megkerülését. Illetve a kockázatos engedélyekhez való hozzáférés igénylésének elkerülését az eszközön. A technikát először 2023 júliusában figyelték meg Lengyelországban és novemberben Csehországban.

Az OTP Bank is érintett

Az ESET kiberbiztonsági vállalat jelentése szerint jelenleg két különböző, erre a technikára támaszkodó kampányt követ nyomon. Az egyik a magyarországi OTP Bank pénzintézetet veszi célba. Minden jel arra utal, hogy a két kampányt különböző fenyegetettségi szereplők működtetik. Az egyik egy különálló C2 infrastruktúrát használ az ellopott hitelesítő adatok fogadására, míg a másik csoport a Telegramon keresztül naplózza az ellopott adatokat.

Az ESET szerint a támadók olyan módszereket használnak, mint az automatizált hívások, SMS-üzenetek (smishing) és a Facebook-hirdetési kampányokban jól kidolgozott rosszindulatú hirdetések.

Az első két esetben a kiberbűnözők egy hamis üzenettel csapják be a felhasználókat azzal, hogy a banki alkalmazásuk elavult, és biztonsági okokból a legújabb verziót kell telepíteniük, és egy URL-t adnak meg az adathalász PWA letöltéséhez.

Előszeretettel használják a közösségi médiát

közösségi médiában megjelenő rosszindulatú hirdetések esetében az aktorok a megszemélyesített bank hivatalos kabalafiguráját használják arra, hogy a legitimitás érzetét keltsék, és korlátozott idejű ajánlatokat, például pénzjutalmat népszerűsítsenek egy állítólag kritikus fontosságú alkalmazásfrissítés telepítéséért.

Az eszköztől függően (a User-Agent HTTP fejléc segítségével ellenőrizve) a hirdetésre kattintva az áldozat egy hamis Google Play vagy App Store oldalra jut.

Hamis Google Play telepítési felszólítás (balra) és a folyamat (jobbra) | Forrás: ESET

A „Telepítés” gombra kattintva a felhasználó egy rosszindulatú, banki alkalmazásnak álcázott PWA telepítését indítja el. Androidon egyes esetekben a rosszindulatú alkalmazás WebAPK – a Chrome böngésző által generált natív APK – formájában települ.

Az adathalász alkalmazás a hivatalos banki alkalmazás azonosítóit használja (pl. logó, legitimnek tűnő bejelentkezési képernyő), és még a Google Play Store-t is az alkalmazás szoftverforrásaként tünteti fel.

A BleepingComputer felvette a kapcsolatot a Google-lal és az Apple-lel, hogy megkérdezze, terveznek-e valamilyen védelmet a PWA-k/WebAPK-k ellen, de a cikk megírásáig nem érkezett válasz.

 

(Forrás: NKI | Kép: pxhere/Mohamed Hassan)

IT EXPERTS-TECH LEADERS 2024 FELHŐ A JAVÁBÓL KONFERENCIA

PODCAST

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek

ICT Global News

Iratkozz fel a hírlevelünkre, hogy ne maradj le az IT legfontosabb híreiről!